SDN VMware NSX网络原理与实践

7.4.4 使用在线模式部署负载均衡

负载平衡在在线模式（发送模式）下实现，这与单臂模式相反，在单臂模式中，集中式NSX Edge 提供路由和负载平衡服务。 数据中心在线模式部署拓扑如图7.17所示。 如您所见，此拓扑使用NSX Edge 在逻辑网络和物理网络之间部署负载平衡。 图7.18 显示了在线模式负载均衡工作流程。具体工作步骤如下。

在线模式下的NSX负载均衡工作流程如下：

1. 外部用户将流量发送到负载平衡服务的虚拟IP 地址(VIP)。

2. LB（嵌入集中式NSX Edge 中）仅执行D-NAT，将VIP 地址替换为服务器场中部署的虚拟机的地址。

3服务器场中的虚拟机响应原始客户端的IP 地址，LB 再次接收此流量。这是因为LB 是内联部署的，并且通常是服务器场的默认网关。

4. LB 执行S-NAT，并使用VIP 作为源IP 地址将流量发送回外部客户端。 在线模式的优点还在于更容易部署，并使服务器/虚拟机能够完全了解原始客户端的IP 地址。但是，从设计角度来看，您通常希望强制将LB 部署为服务器场逻辑网段的默认网关。这意味着这些网段上只能使用集中式路由（而不是分布式路由）。部署方式不太灵活。另请注意，在这种情况下，部署路由服务的NSX Edge 添加了另一个逻辑服务LB，该服务串联在逻辑网络和物理网络之间。在部署NSX Edge 之前，您必须选择较大的大小（例如X-Large）。这可能会消耗更多的服务器资源。

在线模式部署负载均衡的流量模型如图7.19所示。 对于同一主机内的虚拟机，在传统模式下，Web服务器和App服务器之间的流量交互过程仍然是19跳。在NSX 环境中，在物理网络和逻辑网络之间的NSX Edge 上同时启用防火墙服务和负载均衡服务不会为系统增加额外的一跳用于负载均衡服务流量，因此外部用户Web 服务器的访问进程为5酒花。整个Web应用程序模型最多有9个跃点，最少有7个跃点。

7.4.5 部署分布式负载均衡

分布式负载平衡是从NSX 版本6.2 开始的一项新功能。此部署模式将负载均衡服务分布在ESXi 主机的虚拟机管理程序之间，以提供分布式架构并进一步优化数据中心的东西向流量。此部署模型无需使用NSX Edge（单臂模式或在线模式），因为负载平衡由每个Web 服务器所在的ESXi 主机的虚拟机管理程序直接处理。 分布式负载均衡的拓扑如图7.20所示。

实施分布式负载平衡实际上与NSX Edge 没有直接关系。不过，本章还讨论了分布式负载平衡，以便于比较NSX Edge 实现的两种类型的负载平衡。 要部署分布式负载均衡，请在NSX 中启用DLB 服务，在服务定义中找到服务选项，创建新服务并将其部署为基于主机的vNIC，然后在服务类别选项中选择负载均衡器。事实上，您可以将更多服务与NSX 6.2 版本集成。图7.21 显示了可用的服务。

这里选择的是负载均衡服务。 创建分布式负载均衡服务后，必须将其与服务实例关联。接下来是配置VIP。这与前两个负载平衡部署的工作原理基本相同，只不过负载平衡服务是在ESXi 主机的虚拟机管理程序上分布式启用的。 如图7.22所示，分布式负载均衡的流量模型与在线部署的负载均衡的流量模型完全相同，跳数相同。这意味着外部用户访问Web服务器时，必然要经过NSXEdge，而Web服务器之间的负载均衡比Web虚拟机集群内部的分布式负载均衡要完全通过Service来完成。分布式负载均衡与在线模式的区别在于，如果您使用NSX Edge 在在线或单臂模式下处理负载均衡服务，则可以使用高性能服务器安装NSX Edge，并根据需要部署NSX Edge去做这个。 – 大规模分布式负载均衡，完全无需此类部署，提升用户体验。

7.5 利用 NSX Edge 服务网关实现 VPN

虚拟专用网络（VPN），顾名思义，就是虚拟专用网络。

这通常用于使公司的分支节点网络成为公司内网的一部分，而无需部署使用互联网的运营商租用线路。当然，如果您需要在非互联网环境中保护公司关键且敏感的内部网络资源，您也可以使用VPN技术对内部网络上传输的数据进行加密。 本部分首先概述VPN，并说明如何通过NSX Edge 部署第2 层和第3 层VPN 服务。

7.5.1 IPSec VPN 技术

VPN主要利用隧道技术，将VPN报文封装在隧道内，利用VPN骨干网建立专用的数据传输通道，实现报文的透明传输（其实就是如上所述），VXLAN等技术都是建立在早期VPN的基础上的。 VPN 隧道）。 ）VPN具有以下特点：

私有网络：对于VPN用户来说，使用VPN与使用传统的私有网络没有区别。一方面，VPN及其底层承载网保持资源独立性。这意味着在正常情况下，VPN 资源不会被您网络中的其他VPN 或非VPN 用户使用。另一方面，VPN提供了足够的安全保障。防止外部人员侵入您的VPN 内部信息。

虚拟：VPN 用户的内部通信发生在公共网络（公共Internet 或公司所有员工均可使用的内部网络）上。换句话说，VPN用户获得了逻辑意义上的私有网络。该公共网络称为VPN 主干网。 与传统数据专网相比，VPN具有以下优势：

在远程用户、国外机构、合作伙伴、供应商、总部之间建立可靠的连接，确保数据传输的安全。这对于实现电信网络与电子商务或金融网络的融合尤为重要。 利用公共网络进行信息通信，不仅可以让企业以较低的成本连接远程办公室、出差人员和业务合作伙伴，还可以提高网络资源的利用率。

无需改变硬件设备，通过软件设置即可添加或删除VPN用户，操作灵活。

支持海外VPN用户随时随地移动访问，满足日益增长的移动业务需求。

构建具有服务质量保证的VPN（例如MPLS VPN），可以为VPN用户提供不同级别的服务质量保证。 VMware NSX网络虚拟化平台主要采用IPSec技术来实现VPN。 IPSec（IP Security）是由IETF 开发的三层隧道加密协议，为通过Internet 发送的数据提供高质量、可互操作、基于密码的安全保证。 IP层的加密和数据源认证在某些通信方之间提供以下安全服务：数据保密性：IPSec 发送方在通过网络发送数据包之前对其进行加密。

数据完整性：IPSec接收方对发送方发送的数据包进行验证，确保数据在传输过程中未被篡改。

数据源认证：IPSec允许接收者验证IPSec报文的发送者是否合法。

抗重放：IPSec 接收方可以检测并拒绝过时或重复的消息。 IPSec具有以下优点：

支持IKE（Internet Key Exchange），实现密钥自动协商功能，降低密钥协商成本。 SA服务可以通过IKE建立和维护，简化了IPSec的使用和管理。 所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec，而无需对应用系统和服务本身进行任何改变。数据加密是基于数据包而不是整个数据流。它不仅灵活，而且可以进一步提高IP数据包的安全性，有效防止网络攻击。

IPSec协议不是一个单独的协议，而是一组应用于IP层网络数据安全的架构，包括网络认证协议AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange） 。网络认证、加密等算法其中，AH和ESP协议用于提供安全服务，IKE协议用于密钥交换。 IPSec 提供两种安全机制：身份验证和加密。身份验证机制允许IP通信的数据接收方验证数据发送方的真实身份以及数据在传输过程中是否未被篡改。加密机制通过对数据进行加密来保证数据的机密性，防止数据在传输过程中被窃听。

7.5.2 另一种 VPN 技术： SSL VPN

安全套接字层(SSL) 是一种为网络通信提供安全性和数据完整性的安全协议。它由Netscape 开发，用于保护Internet 上的数据传输。我们使用数据加密技术来确保您的数据在通过网络传输时不会被拦截或拦截。如今，这项技术广泛应用于企业对外提供服务的Web应用中，我们熟悉的很多网址，包括HTTPS（比如支付宝网页），都使用了SSL协议，它的TCP端口。号码是443。 SSL VPN是一种基于SSL协议的VPN技术，工作在传输层和应用层之间。

SSL VPN充分利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为应用层之间的通信建立安全连接。由于使用的协议不同，实施SSL VPN 与传统VPN 有很大不同。 企业网络管理员可以在SSL VPN网关上创建与企业网络中的服务器相对应的资源。然后，当远程访问用户访问企业网络中的服务器时，他们首先与SSL VPN 网关建立HTTPS 连接并选择要连接的资源。一旦访问，SSL VPN网关将资源访问请求转发到企业网络内的服务器。 SSL VPN 通过在远程访问用户和SSL VPN 网关之间建立SSL 连接来保护企业网络中的服务器，然后由SSL VPN 网关验证用户的身份。

SSL VPN工作流程如下： 1. 管理员通过HTTPS登录SSL VPN网关的Web管理界面，在SSL VPN网关上创建服务器对应的资源。 2. 远程访问用户与SSL VPN网关建立HTTPS连接。 SSL 提供基于证书的身份验证，允许SSL VPN 网关和远程访问用户相互验证其身份。 3 HTTPS连接成功后，用户登录SSL VPN网关的网页，输入用户名、密码和认证方式（如RADIUS认证），SSL VPN网关验证用户信息是否正确。 4. 用户登录成功后，在网页上找到可访问的资源，通过SSL连接向SSL VPN网关发送访问请求。 5. SSL VPN网关解析请求，与服务器通信，并将响应发送给用户。

7.5.3 使用 NSX Edge 建立二层 VPN

如图7.23 所示，使用NSX Edge 进行第2 层VPN 部署可以在两个隔离的数据中心之间实现第2 层连接，从而允许您在不同数据中心之间迁移虚拟机，或者还可以在它们之间执行存储复制和备份。 通过NSX Edge 部署第2 层VPN 还可用于连接私有云和公有云，如图7.24 所示。许多公司希望他们的数据中心有冗余，但他们建立数据中心是为了省钱。此外，使用公共云作为数据中心的备份。

在企业、数据中心和运营商中，使用NSX Edge 建立二层VPN 的应用场景多种多样。 将之前构建的企业网络迁移到基于私有或公有云的数据中心环境。

运营商启动租户服务。云爆发是一种应用部署模式，应用程序运行在私有云或数据中心，当计算能力需求达到阈值时，“入侵”公有云的计算资源。利用公共云来扩展您的应用程序负载。 混合云扩展了应用层。使用NSX Edge 部署第2 层VPN 的解决方案具有以下特点： 通过SSL加密隧道连接不同数据中心的网络，完成二层VPN连接。底层网络只需要IP互通。不同的网络可以通过VPN 连接到同一子网。

本地网络可以是任何类型。二层VPN可以基于VLAN或VXLAN连接到远程网络。 当两个数据中心之间建立连接时，这只是点对点服务。在本地，NSX Edge 充当第2 层VPN 服务器，但在场外数据中心中，NSX Edge 充当第2 层VPN 客户端来连接到服务器。

支持UI和API驱动的配置。 二层VPN主要用于连接不同地点之间的网络，中间链路是公司自建的专线或互联网线路。 第2 层VPN 的建立独立于这些电路，无需考虑延迟或带宽。和MTU（仅在涉及中间执行应用程序时相关）。使用NSX Edge 部署第2 层VPN 可为您的企业带来以下优势： 基地间实现二层扩展，通信加密。 无需特殊的网络硬件。

支持企业私有云互联和混合云扩展。 支持与电信天翼混合云对接。 NSX 6.1发布后，VPN功能得到了显着改进，主要体现在以下几个方面：

6.0 版本要求在不同数据中心部署两个独立的NSX 域以实现VPN 连接。这意味着在每个数据中心部署单独的vCenter、NSX Manager 和NSX Controller 群集。 虽然这在小型部署中可能不是一个大问题，但在运营商混合云部署中却成为一个问题。多达数十个站点的数据中心无法统一配置和管理。在版本6.1 中，您可以将远程NSX Edge 部署为VPN 客户端，从而允许您在部署VPN 服务器的站点之间统一配置和管理它们。

版本6.1 支持在NSX Edge 上启用第三个接口（上行链路和内部接口除外）。这是熟悉的trunk接口。此接口允许您轻松地在多站点网络上扩展第2 层VPN。在版本6.0 中，NSX Edge 对每个vNIC 接口有限制。版本6.1 中的第2 层VPN 提供完整的HA 支持（无论您是否使用NSX Edge 部署第2 层VPN 服务器或客户端），并在主用和备份模式下支持每个站点上的一对NSX Edge。

#SDN 以上有关VMware NSX组网原理与实践的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。